Artigo
19/09/2025

A nova regulação dos PSTI (Provedores de Serviços de TI)

Banco Central define requisitos de segurança, governança e prazos para Provedores de Serviços de TI no sistema financeiro.

Avatar Thiago do Amaral Santos

Registros selecionados

Imagem de capa do artigo

O Banco Central do Brasil publicou dois atos normativos que criam um novo marco regulatório para os Provedores de Serviços de Tecnologia da Informação (PSTI), empresas que desempenham papel crítico ao possibilitar que instituições financeiras e de pagamento acessem a Rede do Sistema Financeiro Nacional (RSFN): a Resolução BCB nº 498/2025 e a Instrução Normativa BCB nº 664/2025.

O que são os PSTIs e por que são relevantes?

Os PSTIs são responsáveis por prover serviços de processamento de dados para que bancos, fintechs de crédito, instituições de pagamento e demais supervisionados pelo Banco Central se conectem à RSFN, infraestrutura de comunicação segura que sustenta operações financeiras essenciais (como Pix, STR e liquidações interbancárias). Trata-se, portanto, de intermediários tecnológicos de missão crítica. A falha de um PSTI pode gerar impactos sistêmicos em todo o mercado de pagamentos, com reflexos para a estabilidade financeira.

Resolução BCB nº 498/2025: credenciamento e requisitos

A Resolução 498 estabelece as condições para o credenciamento de PSTIs. Entre os pontos de destaque:

  • Capital e solidez: patrimônio líquido mínimo de R$ 15 milhões, podendo o Banco Central exigir montante maior conforme o risco e volume das operações.
  • Governança robusta: exigência de diretores específicos para segurança da informação, riscos, compliance, crises operacionais e relacionamento com o BC.
  • Segurança cibernética: políticas obrigatórias alinhadas a padrões internacionais, isolamento físico/lógico dos ambientes Pix e STR, mecanismos de criptografia, rastreabilidade completa das transações e monitoramento 24/7 de incidentes.
  • Gestão de fraudes: obrigação de canal de reporte, detecção em tempo real de transações atípicas e mecanismos de interrupção total do fluxo em caso de comprometimento.
  • Continuidade de negócios: plano robusto de contingência, centro de processamento secundário e testes periódicos.
  • Responsabilidade compartilhada: instituições financeiras que contratarem PSTIs também devem monitorar a adequação do prestador e manter controle sobre suas próprias chaves criptográficas.

Com isso, o BC eleva a barra regulatória, restringindo o mercado a players com alta capacidade técnica e financeira, em linha com padrões internacionais.

Instrução Normativa BCB nº 664/2025: prazos imediatos

A IN 664 complementa a Resolução ao definir prazos muito curtos para os PSTIs já em operação se adequarem às novas exigências.

  • Em até 15 dias: implementação de requisitos prioritários de segurança, como múltiplos fatores de autenticação, trilhas de auditoria fim-a-fim, gestão de certificados digitais, ações de inteligência cibernética e proteção avançada de rede.
  • Em até 30 dias: implementação dos demais aspectos da política de segurança da informação (criptografia, segregação de ambientes, pentests, isolamento Pix/STR) e da política de gestão de fraudes (monitoramento 24/7, análise de padrões históricos e comportamentais, mecanismos de interrupção de fluxo e comunicação tempestiva com instituições impactadas).

Relatório obrigatório: após a implementação, o PSTI deve apresentar ao Banco Central um relatório de asseguração razoável, elaborado por auditoria independente registrada na CVM, comprovando a conformidade.

O descumprimento dos prazos pode levar o BC a aplicar medidas cautelares severas, como limitar o volume de operações, suspender conexões à RSFN ou até executar o plano de saída ordenada do PSTI.

Impactos para o mercado

  • Barreira de entrada elevada: apenas empresas com robustez técnica, financeira e de governança conseguirão se credenciar.
  • Aumento da confiança sistêmica: ao reforçar requisitos de segurança e resiliência, o BC busca proteger o funcionamento do SPB contra falhas tecnológicas e ataques cibernéticos.
  • Responsabilidade contratual ampliada: instituições financeiras passam a ter obrigações explícitas de monitorar seus PSTIs, reforçando a corresponsabilidade.
  • Pressão de curto prazo: para os PSTIs já existentes, os prazos de 15 e 30 dias exigem rápida mobilização de equipes de tecnologia, compliance, auditoria e governança.

Onde consultar

A Resolução BCB nº 498/2025 pode ser consultada em https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=498

A Instrução Normativa BCB nº 664/2025 pode ser consultada em https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Instru%C3%A7%C3%A3o%20Normativa%20BCB&numero=664

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

O que é um PSTI (Provedor de Serviços de Tecnologia da Informação)?
Um PSTI (Provedor de Serviços de Tecnologia da Informação) é uma empresa responsável por fornecer serviços de processamento de dados que permitem que instituições financeiras e de pagamento, como bancos e fintechs, se conectem à RSFN (Rede do Sistema Financeiro Nacional).Esses provedores são considerados intermediários tecnológicos de missão crítica, pois uma falha em seus serviços pode gerar impactos sistêmicos e afetar a estabilidade financeira.
O que é a RSFN (Rede do Sistema Financeiro Nacional)?
A RSFN (Rede do Sistema Financeiro Nacional) é uma infraestrutura de comunicação segura que sustenta operações financeiras essenciais no Brasil.Ela viabiliza transações como o Pix, operações do STR (Sistema de Transferência de Reservas) e liquidações interbancárias.
Qual é o novo marco regulatório para os PSTIs?
O novo marco regulatório para os Provedores de Serviços de Tecnologia da Informação (PSTIs) foi estabelecido pelo Banco Central do Brasil por meio de dois atos normativos: a Resolução BCB nº 498/2025 e a Instrução Normativa BCB nº 664/2025.A Resolução define as condições para o credenciamento e os requisitos operacionais, enquanto a Instrução Normativa estabelece os prazos para que os PSTIs já em atividade se adequem às novas regras.
Quais são os principais requisitos para o credenciamento de um PSTI, conforme a Resolução BCB nº 498/2025?
A Resolução BCB nº 498/2025 estabelece diversas condições para o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTIs), com o objetivo de garantir alta capacidade técnica e financeira. Os principais requisitos são:Capital e solidez: Exigência de um patrimônio líquido mínimo de R$ 15 milhões, valor que pode ser aumentado pelo Banco Central dependendo do risco e do volume das operações.Governança robusta: Obrigatoriedade de diretores específicos para áreas como segurança da informação, riscos, compliance, gestão de crises operacionais e relacionamento com o Banco Central.Segurança cibernética: Implementação de políticas alinhadas a padrões internacionais, incluindo isolamento físico ou lógico dos ambientes do Pix e do STR, uso de criptografia, rastreabilidade completa das transações e monitoramento de incidentes 24 horas por dia, 7 dias por semana.Gestão de fraudes: Dever de manter um canal de reporte, sistemas de detecção em tempo real para transações atípicas e mecanismos para interromper totalmente o fluxo de operações em caso de comprometimento.Continuidade de negócios: Manutenção de um plano de contingência robusto, com um centro de processamento secundário e a realização de testes periódicos.Responsabilidade compartilhada: As instituições financeiras que contratam PSTIs devem monitorar a conformidade do prestador e manter controle sobre suas próprias chaves criptográficas.
O que a Instrução Normativa BCB nº 664/2025 determina para os PSTIs já em operação?
A Instrução Normativa BCB nº 664/2025 estabelece prazos curtos para que os Provedores de Serviços de Tecnologia da Informação (PSTIs) já em operação se adaptem ao novo marco regulatório.Os prazos definidos são:Até 15 dias: Implementar requisitos prioritários de segurança, como múltiplos fatores de autenticação, trilhas de auditoria de ponta a ponta, gestão de certificados digitais, ações de inteligência cibernética e proteção avançada de rede.Até 30 dias: Implementar os demais aspectos da política de segurança da informação (como criptografia, segregação de ambientes e pentests) e da política de gestão de fraudes (como monitoramento 24/7 e mecanismos de interrupção de fluxo).Após a implementação, o PSTI deve apresentar ao Banco Central um relatório de asseguração razoável, preparado por uma auditoria independente registrada na CVM, para comprovar a conformidade com as novas exigências.
Qual é a responsabilidade das instituições financeiras que contratam PSTIs?
De acordo com o novo marco regulatório, as instituições financeiras e de pagamento que contratam Provedores de Serviços de Tecnologia da Informação (PSTIs) possuem uma responsabilidade compartilhada.Elas têm a obrigação explícita de monitorar se o prestador de serviço está adequado às normas e devem também manter o controle sobre suas próprias chaves criptográficas.
Quais são as possíveis consequências para um PSTI que não cumprir os prazos de adequação?
O descumprimento dos prazos definidos na Instrução Normativa BCB nº 664/2025 pode levar o Banco Central a aplicar medidas cautelares severas contra o Provedor de Serviços de Tecnologia da Informação (PSTI).Entre as possíveis penalidades estão a limitação do volume de operações processadas, a suspensão de conexões à Rede do Sistema Financeiro Nacional (RSFN) ou até mesmo a execução de um plano de saída ordenada do mercado.
Quais são os principais impactos do novo marco regulatório de PSTIs para o mercado?
O novo marco regulatório para os Provedores de Serviços de Tecnologia da Informação (PSTIs) gera impactos significativos para o mercado financeiro e de pagamentos, incluindo:Barreira de entrada elevada: Apenas empresas com robustez técnica, financeira e de governança conseguirão se credenciar, tornando o mercado mais restrito.Aumento da confiança sistêmica: O reforço nos requisitos de segurança e resiliência visa proteger o Sistema de Pagamentos Brasileiro (SPB) contra falhas e ataques cibernéticos.Responsabilidade contratual ampliada: As instituições financeiras passam a ter obrigações explícitas de monitorar seus fornecedores, fortalecendo a corresponsabilidade.Pressão de curto prazo: Os PSTIs existentes enfrentam prazos curtos (de 15 e 30 dias) para se adequarem, exigindo uma rápida mobilização de recursos e equipes.

Autor

Foto de perfil de Thiago do Amaral Santos

Thiago do Amaral Santos

Sócio BTLaw | Professor FGV e Insper | Fintech, Meios de Pagamento, Bancos Digitais

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

PSTI: nova regulação e impactos na contratação dos serviços

Artigo

Novas Regras no Regulamento do Pix

Artigo

Arcabouço regulatório das fintechs